Edu*_*eni 12 security httponly asp-classic
我希望在我的传统ASP经典网站中实现httpOnly.谁知道怎么做?
小智 15
如果在IIS 7/7.5上运行经典ASP网页,则可以使用IIS URL重写模块编写规则以使您的cookie成为HTTPOnly.
将以下内容粘贴到web.config的部分:
<rewrite>
<outboundRules>
<rule name="Add HttpOnly" preCondition="No HttpOnly">
<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; HttpOnly" />
<conditions>
</conditions>
</rule>
<preConditions>
<preCondition name="No HttpOnly">
<add input="{RESPONSE_Set_Cookie}" pattern="." />
<add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
详情请见:http://forums.iis.net/t/1168473.aspx/1/10
对于后台,出于PCI合规性原因,需要HTTPOnly cookie.PCI标准人员(用于信用卡安全)使您至少在您的sessionID cookie上拥有HTTPOnly,以帮助防止XSS攻击.
此外,在当前时间(2-11-2013),所有主要浏览器都支持对Cookie的HTTPOnly限制.这包括IE,Firefox,Chrome和Safari的当前版本.
有关各种浏览器版本如何工作和支持的详细信息,请参阅此处:https: //www.owasp.org/index.php/HTTPOnly
Aar*_*ner 11
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly"
其他选项如expires,path也secure可以这种方式添加.我不知道有什么神奇的方法可以改变你的整个cookies系列,但我可能错了.
| 归档时间: |
|
| 查看次数: |
29713 次 |
| 最近记录: |